phpAddressBook ‘index.php’ 多个目录遍历漏洞

漏洞信息详情

phpAddressBook ‘index.php’ 多个目录遍历漏洞

• CNNVD编号：CNNVD-200803-404
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2008-1492
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2008-03-25
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-04-08
  
• 厂        商：
  
  coronamatrix
• 漏洞来源：
  0x90 is credited w…

CoronaMatrix phpAddressBook 2.11版本存在多个目录遍历漏洞。远程攻击者借助到(1)index.php和(2)install.php的皮肤参数（该参数中包含..）注入和执行任意的本地文件。注意：据后来的报道，第一种攻击方法也会在2.0版本中出现。

来源: BID

名称: 28397

链接:http://www.securityfocus.com/bid/28397

来源: BUGTRAQ

名称: 20080501 php-addressbook v2.0 Multiple Remote Vulnerabilities (LFI/XSS)

链接:http://www.securityfocus.com/archive/1/archive/1/491525/100/0/threaded

来源: BUGTRAQ

名称: 20080322 phpAddressBook v2.11 Multiple Local File Inclusion Vulnerabilities

链接:http://www.securityfocus.com/archive/1/archive/1/489971/100/0/threaded

来源: MILW0RM

名称: 5288

链接:http://www.milw0rm.com/exploits/5288

来源: MISC

链接:http://0x90.com.ar/Advisory/20080321.txt

来源: XF

名称: phpaddressbook-skin-directory-traversal(41394)

链接:http://xforce.iss.net/xforce/xfdb/41394

来源: SREASON

名称: 3772

链接:http://securityreason.com/securityalert/3772

来源: SECUNIA

名称: 29514

链接:http://secunia.com/advisories/29514